生产环境k8s访问权限分配案例

生产环境,有时候开发需要权限去看k8s某个namespace下的pod的运行状态,或者其它的运行信息(ELK或其它组件并不能完全覆盖这种场景,或者特地引入kubesphere这套组件也太重了),这种情况我们超级用户权限要如何高效解决?

我们这种情况下,可以结合jumpserver的账号来做。具体点就是:

1、在k8s上namespace创建不同的rbac(只开放出list watch这类的只读权超级用户权限限),并把配置系统运维工程师面试问题及答案文件捞出来

2、系统运维主要做什么在jumpserver上单独开一个ecs,安装kubectl,并创建多个账号,对用户权限管理系统k8s的不同namespace

3、在ecs上,系统运维工资一般多少切到不同的账系统运维的主要任务号下,将step1的配linux系统安装置文件写到linux操作系统基础知识到对应的kubectl的配置里

4、研发可以自助在jumpserver上申请权限(申请主机权限--->申系统运维主要做什么请某个用户权限),这样既可达成我们的目标。

jumps系统运维主要做什么er系统运维工程ver的配置比较简单,这里就跳过了。

主要是k8slinux常用命令上的只读账系统运维工作内容号的rbac的yaml文件用户权限管理系统贴一下系统运维工程师面试问题及答案

3个yaml的内容如用户权限管理系统下:

readonly的账号配置文件具体如下:
# cat 1-readonly.serviceaccount-ns1.yaml
apiVersion: v1
kind: ServiceAccount
metadata:
creationTimestamp: null
name: readonly
namespace: ns1

# cat 2-readonly.clusterrole-ns1.yaml
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
annotations:
name: cluster-readonly
rules:
- apiGroups:
- '*'
resources:
- pods
- pods/log
- events
- deployments
- replicasets
verbs:
- get
- watch
- describe
- logs
- list

# cat 3-readonly.rolebinding-ns1.yaml
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
name: readonly@ns1
namespace: ns1
roleRef:
apiGroup: rbac.authorization.k8s.io
kind: ClusterRole
name: cluster-readonly
subjects:
- kind: ServiceAccount
name: readonly
namespace: ns1

此外,我们还可以把这台kubectl的机器的堡垒机日志系统运维工作内容展示到grafana上,如下图linux系统安装

对应的sql如下:

select 
user as 用户名,
system_user as 系统账号,
input as 输入命令,
output as 返回结果,
DATE_ADD(from_unixtime(timestamp), INTERVAL -8 hour) as 执行时间
from terminal_command
where asset LIKE '%kubectl%'
order by timestamp desc
limit 500